这份清单大部分内容是通用的,不仅适用于Node.js,同样适用于其他语言和框架,只是一些明确给出了在Node.js中使用的方法。同时推荐你去阅读我们的引导文章 Node.js security,如果你刚羡橡孝开始使用Node.js,如穗推荐你看这篇文章 first chapter of Node Hero。
配置管理
HTTP 安全头部
有些关于安全的HTTP头部是你的网站必须要有的:
Strict-Transport-Security 强制将HTTP请求替换为HTTPS请求
X-Frame-Options 防止点击劫持
X-XSS-Protection 开启跨站脚本攻击(XSS)的过滤,大多数现代浏览器支持这个设置
X-Content-Type-Options 禁用浏览器对响应内容MIME类型的嗅探,严格使用响应的Content-Type的值
Content-Security-Policy 能有效防止多种攻击,包括跨站脚本和跨站注入
Node.js开发者可以使用Helmet模块置这些头部,代码如下:
var express = require('express')
var helmet = require('helmet')
var app = express()
app.use(helmet())
Koa和ThinkJS框架中可以使用koa-helmet来设置这些头部,当然有关安全的头部不止这些,更多请看Helmet和MDN HTTP Headers。
在大多数架构里这些头部可以设置在web服务器的配置中(Apache、Nginx),不需要对应用代码进行改动。在Nginx中的配置:
# nginx.conf
add_header X-Frame-Options SAMEORIGIN
add_header X-Content-Type-Options nosniff
add_header X-XSS-Protection "1mode=block"
add_header Content-Security-Policy "default-src 'self'"
有一个完整的Nginx配置文件,帅气的传送门在此。
如果你想快速检查你的网站是否有了所有的必须头部,请使用这个在线检查器。
客户端的敏感数据
当发布前端应用时,确保你的代码里永远不会包含API密码和证书,因为它可以被任何人看到。
没有自动化的方法去检查你在代码里写了敏感数据,但是有两个可以降低向客户端暴露敏感数据风险的方法:
使用 pull requests 提交代码
定期 code review
NodeJS是新兴的编程方式,基于javascript
本身的特点NodeJS存在自己的优点和缺点。
安全性:NodeJS的安全性你是在指单线程的资源争用吗?NodeJS是单线程的,并且是原生的
异步编程
模型,对于资源当然不能做太多同步的处理,也就是说你不要用javascript来做同步的事情,如果做同步的工作就不要用javascript。当然有些时候资源同步是必要的,这时候可以在数据库层面着手,比如couchdb,就是多版本的数据库,即使出现资源争用也完全不用担心,数据库回处理多版本问题。所以NodeJS是一个安全的环境慧粗。
稳定性:NodeJS的特点是单线程,也就是说整个程序只有一个线程在跑,同时还是异步的,对于多个请求或多个 *** 作是同时进行的,那么假设在这么多的并行 *** 作(单线程和并行不矛盾)中如果有一个 *** 作crash了,结果回怎么样?因为是单线程,这悔碧郑个线程中出现的任何问碧颂题都回反映到线程上,某个 *** 作crash就回导致线程的crash,线程又控制着多个并行 *** 作,结果就是:一个 *** 作crash导致整个NodeJS崩溃。所以NodeJS的稳定性还不足。NodeJS还在快速发展中,在未来的某个版本中也许会提高稳定性,目前NodeJS还不适合用来做对稳定性要求很高的项目。
nodejs优势在于原型开发快,学习门槛低,简单业务运行效率高于java等缺迅李后台脚本语言的vm。劣势同样明显,javascript引擎基于事件的函数回调模型既是优势又是劣势:导致复杂伏迟逻辑失控,不能用于生产环境。此架构并非新兴事物,早年的windows 3的消息模型类似:所谓的协同式多任务(不展开)。最终不得不让步于抢占多任务。导致入门易,优化难,昌举难调试,大型业务框架不易成型
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)